Dekoder JWT – dekoduj tokeny JSON Web Token i sprawdzaj ich wygaśnięcie online

Wklej dowolny token JSON Web Token, aby natychmiast zdekodować jego nagłówek i ładunek, wyświetlić podpis i sprawdzić, czy nie wygasł. Działa lokalnie – Twoje tokeny nigdy nie opuszczają przeglądarki.

Zakodowany JWT

Decode and verify entirely in your browser — nothing is uploaded.

Pliki są automatycznie usuwane po przetworzeniuPrzetwarzane bezpiecznie przez HTTPS

Frequently Asked Questions

Wklej zakodowany JWT (długi ciąg eyJ…) do pola wejściowego. Narzędzie dzieli go na dwóch kropkach, dekoduje nagłówek i ładunek z Base64URL i pokazuje JSON dla każdego z nich oraz surowy segment podpisu – wszystko bez wykonywania jakiegokolwiek żądania sieciowego.

usage

Nie. Dekoder jedynie analizuje token — nie weryfikuje podpisu względem klucza tajnego ani publicznego, ponieważ weryfikacja wymaga materiału kluczowego wystawcy. Do weryfikacji produkcyjnej użyj biblioteki JWT po stronie serwera; to narzędzie służy do podglądu i debugowania.

technical

Otrzymujesz nagłówek (algorytm i identyfikator klucza), atrybuty ładunku (sub, iss, aud, iat, exp oraz wszelkie atrybuty niestandardowe) i surowy podpis. Standardowe atrybuty z sygnaturą czasową są formatowane jako daty czytelne dla człowieka, więc na pierwszy rzut oka wychwycisz nieaktualne tokeny.

features

Jeśli ładunek zawiera standardowe pole „exp", narzędzie porównuje je z bieżącym czasem i wyświetla „Ważny do" lub „Token wygasł o" wraz z dokładnym znacznikiem czasu. Tokeny bez pola exp są oznaczane jako nieposiadające daty wygaśnięcia.

features

Każdy, kto odczyta ładunek tokena JWT, może z niego korzystać aż do jego wygaśnięcia, dlatego tokeny produkcyjne należą do narzędzi prywatnych. Ten dekoder działa w całości w Twojej przeglądarce i nigdy nie przesyła tokena, jednak bezpieczniejszą zasadą jest dekodowanie krótkotrwałych tokenów deweloperskich, kiedy tylko to możliwe.

privacy

JWT składa się z trzech segmentów zakodowanych w Base64URL i oddzielonych kropkami: nagłówka (algorytm podpisu), ładunku (oświadczenia, którym wystawca chce, by zaufał weryfikujący) oraz podpisu (kod MAC lub podpis cyfrowy dla header.payload). Dekodowanie nigdy nie wymaga klucza — wymaga go jedynie weryfikacja.

technical

Kompaktowy, bezpieczny dla adresów URL token złożony z trzech segmentów Base64URL — nagłówka, ładunku i podpisu — który przenosi podpisane dane, takie jak identyfikator użytkownika i czas wygaśnięcia. Jest powszechnie używany do bezstanowych sesji logowania i zabezpieczania żądań API. Wklej token powyżej, aby sprawdzić jego nagłówek i ładunek.

technical

Pod zdekodowanym nagłówkiem i danymi (payload) wklej sekret podpisujący (dla HS256) lub klucz publiczny wystawcy w formacie PEM lub JWK (dla RS256, ES256 i podobnych) w pole Zweryfikuj podpis, a następnie kliknij Zweryfikuj. Pojawiająca się plakietka informuje, czy podpis jest prawidłowy, nieprawidłowy, czy używa algorytmu nieobsługiwanego przez weryfikator działający w przeglądarce — wszystko obliczane lokalnie, bez wysyłania tokenu ani klucza gdziekolwiek.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Debuguj przepływy OAuth i OpenID Connect

Dekoduj tokeny dostępu i tokeny ID zwracane przez Auth0, Okta, Cognito i Azure AD, aby weryfikować zakresy, odbiorców i wystawców podczas lokalnej pracy nad integracją OAuth

For Developers

Sprawdzaj nagłówki autoryzacji w wywołaniach API

Wklej token bearer z nieudanego żądania API, aby potwierdzić, czy winny jest nieprawidłowy tenant, rola lub czas wygaśnięcia, zanim zgłosisz zgłoszenie do zespołu backendu

For Developers

Sprawdzanie wygaśnięcia tokena podczas tworzenia aplikacji

Wykrywaj wygasłe tokeny, które po cichu psują Twoje środowisko testowe, odczytując oświadczenie exp — bez kopiowania tokenu do terminala czy pisania szybkiego skryptu

For Business

Audyt uprawnień zakodowanych w oświadczeniach tokenu

Weryfikuj niestandardowe oświadczenia (claims), takie jak role, dzierżawcy i flagi funkcji, aby administratorzy mogli potwierdzić, że token klienta przyznaje dokładnie taki dostęp, jaki przewidział zespół licencyjny

For Business

Walidacja integracji jednokrotnego logowania (SSO)

Sprawdzaj tokeny SAML i OIDC generowane przez firmowe integracje SSO, aby potwierdzić przynależność do grup i mapowanie atrybutów przed wdrożeniem dla wszystkich pracowników

Education

Naucz uwierzytelniania opartego na tokenach

Wykorzystuj panele zdekodowanego nagłówka, ładunku i podpisu, aby wyjaśnić strukturę tokenów JWT studentom bootcampów, młodszym inżynierom i uczestnikom warsztatów z bezpieczeństwa

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.